風險管理審計“華信經(jīng)管創(chuàng)新系列內(nèi)部審計學(xué)（第二版）第八章01風險管理審計概述風險管理審計的概念界定風險管理是指對影響組織目標實現(xiàn)的各種不確定性事件進行識別與評估，并采取應(yīng)對措施將其影響控制在可接受范圍內(nèi)的過程。風險管理審計就是一個組織的內(nèi)部審計機構(gòu)采用系統(tǒng)化、規(guī)范化的方法，對該組織風險管理信息系統(tǒng)、各業(yè)務(wù)循環(huán)以及相關(guān)職能部門的風險識別、分析、評價、管理及處理等過程進行測試，并在此基礎(chǔ)上開展的一系列審查、評價和咨詢活動。風險管理審計通過對組織的風險管理、控制及監(jiān)督過程進行評價和提供咨詢，進而提高組織管理層所實施的風險管理過程的效率，最終幫助組織實現(xiàn)其目標。風險管理審計概述內(nèi)部審計在企業(yè)全面風險管理中的作用促使企業(yè)風險管理成為一個上下貫通、持續(xù)改進的企業(yè)增值機制之一，幫助企業(yè)治理層、管理層不斷提升企業(yè)價值。具體而言，風險管理審計承擔著協(xié)助實現(xiàn)企業(yè)戰(zhàn)略目標的重大任務(wù)，企業(yè)的戰(zhàn)略目標無論如何表述，首要的都是保證企業(yè)永續(xù)經(jīng)營和資本增值，風險管理審計在完善企業(yè)風險控制體系，幫助企業(yè)避免顛覆性重大風險，消除風險點，減少跑冒滴漏，提高經(jīng)濟效益等方面，都發(fā)揮著不可替代的作用。風險管理審計概述風險管理審計與風險導(dǎo)向?qū)徲嫷穆?lián)系與區(qū)別(一)風險管理審計和風險導(dǎo)向?qū)徲嫷穆?lián)系(1)二者的審計依據(jù)都是企業(yè)的風險管理方針、策略和風險評價指標體系；(2)業(yè)務(wù)內(nèi)容基本上都是對組織風險范圍確定、風險識別、風險評價、風險管理措施和方法、風險處理等方面進行審核；(3)審計的總目標都是為戰(zhàn)略決策提供信息，為實現(xiàn)戰(zhàn)略目標服務(wù)，為企業(yè)增加價值。風險管理審計概述風險管理審計與風險導(dǎo)向?qū)徲嫷穆?lián)系與區(qū)別(二)風險管理審計和風險導(dǎo)向?qū)徲嫷膮^(qū)別1.含義不同風險導(dǎo)向?qū)徲媱t是審計主體為了提高財務(wù)審計、績效審計、內(nèi)部控制審計的效率和質(zhì)量，降低審計風險，測試組織的風險戰(zhàn)略和風險管理，根據(jù)測試結(jié)果，決定其他相應(yīng)審計程序的范圍、性質(zhì)、程度和時間。2.側(cè)重點不同風險導(dǎo)向?qū)徲媱t是通過對組織風險的測試確定實質(zhì)性程序的實施程度，從而提高審計效率和質(zhì)量，降低審計風險。3.服務(wù)對象不同風險管理審計作為一種具體審計業(yè)務(wù)，主要服務(wù)于企業(yè)管理層；而風險導(dǎo)向?qū)徲嫺嗟刈鳛橐环N審計方法，直接服務(wù)于審計實施主體。風險管理審計概述02風險管理審計的目標和內(nèi)容風險管理審計的目標THECONNOTATIONOFCORPORATECULTURE內(nèi)部審計作為組織內(nèi)部一種獨立、客觀的確認和咨詢活動，應(yīng)當通過運用系統(tǒng)、規(guī)范的程序和方法，審查和評價組織的業(yè)務(wù)活動及內(nèi)部控制、風險管理的適當性和有效性，促進改善組織的治理和管理，幫助組織增加價值，實現(xiàn)組織目標。內(nèi)部審計在實施風險管理審計時也應(yīng)當將幫助組織增加價值和實現(xiàn)組織目標作為其總體目標，并通過對組織的風險管理活動進行監(jiān)督和評價，以及通過為組織的風險管理活動提供咨詢來實現(xiàn)審計的總體目標。風險管理審計的總目標風險管理審計的目標和內(nèi)容風險管理審計的目標和內(nèi)容010203促進組織風險管理架構(gòu)的建立和完善。評價組織風險管理工作的效果并做出報告。維護組織風險管理體系的完整性和持續(xù)運行。01風險管理審計的具體目標組織治理層和高級管理層對風險管理的態(tài)度風險管理制度執(zhí)行者的態(tài)度和素質(zhì)與組織性質(zhì)、規(guī)模相適應(yīng)的風險管理理念根據(jù)組織性質(zhì)、規(guī)模確定其風險接受程度風險管理審計的目標和內(nèi)容風險管理審計的主要內(nèi)容-針對風險管理環(huán)境的審查與評價0102031.審查風險管理組織機構(gòu)的健全性2.審查風險管理程序的合理性3.審查風險預(yù)警系統(tǒng)的存在及有效性風險管理審計的目標和內(nèi)容風險管理審計的主要內(nèi)容-針對風險管理機制的審查與評價組織常見的外部風險是指外部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性，主要來源于以下因素：(1)國家法律、法規(guī)及政策的變化；(2)經(jīng)濟環(huán)境的變化；(3)科技的快速發(fā)展；(4)行業(yè)競爭、資源及市場變化；(5)自然災(zāi)害及意外損失；(6)其他因素。針對風險識別的適當性及有效性的審查與評價風險管理審計的目標和內(nèi)容組織常見的內(nèi)部風險是指內(nèi)部環(huán)境中對組織目標的實現(xiàn)產(chǎn)生影響的不確定性，主要來源于以下因素：(1)組織治理結(jié)構(gòu)的缺陷；(2)組織經(jīng)營活動的特點；(3)組織資產(chǎn)的性質(zhì)以及資產(chǎn)管理的局限性；(4)組織信息系統(tǒng)的故障或中斷；(5)組織人員的道德品質(zhì)、業(yè)務(wù)素質(zhì)未達到要求；(6)其他因素。針對風險識別的適當性及有效性的審查與評價風險管理審計的目標和內(nèi)容針對風險識別的適當性及有效性的審查與評價內(nèi)部審計人員對風險識別過程的審計，主要是通過實施必要的審計程序，對組織風險識別過程進行審查與評價，重點關(guān)注組織面臨的內(nèi)、外部風險是否已得到充分、適當?shù)拇_認。具體包括以下內(nèi)容：(1)組織進行風險評估以及風險控制的前提是進行風險識別和分析，風險識別是風險管理中關(guān)鍵性的第一步。因此，內(nèi)部審計人員必須首先審查和評價組織所遵循風險識別原則的合理性。風險管理審計的目標和內(nèi)容針對風險識別的適當性及有效性的審查與評價(2)識別風險是風險管理的基礎(chǔ)，組織的風險管理人員應(yīng)當在進行了實地調(diào)查研究之后，運用各種方法對尚未發(fā)生的、潛在的及存在的各種風險進行系統(tǒng)的歸類，并總結(jié)出組織面臨的各種風險。風險識別方法所要解決的主要問題就是采取一定的方法分析風險因素、風險的性質(zhì)以及潛在后果。為此，內(nèi)部審計人員應(yīng)當審查和評價組織風險識別方法的適當性，關(guān)注組織風險管理部門是否將各種方法相互融通、相互結(jié)合地運用。風險管理審計的目標和內(nèi)容內(nèi)部審計人員應(yīng)當對管理層所采用的風險評估方法進行審查，并重點考慮以下因素：(1)已經(jīng)識別的風險的特征；(2)相關(guān)歷史數(shù)據(jù)的充分性與可靠性；(3)管理層進行風險評估的技術(shù)能力；(4)成本效益的考核與衡量等。針對風險評估方法的適當性及有效性的審查與評價風險管理審計的目標和內(nèi)容內(nèi)部審計人員在評價風險評估方法的適當性和有效性時，應(yīng)當遵循以下原則：(1)定性方法的采用需要充分考慮相關(guān)部門或人員的意見，以提高評估結(jié)果的客觀性；(2)在風險難以量化、定量評價所需數(shù)據(jù)難以獲取時，一般應(yīng)采用定性方法；(3)定量方法一般情況下會比定性方法提供更為客觀的評估結(jié)果。針對風險評估方法的適當性及有效性的審查與評價風險管理審計的目標和內(nèi)容針對風險應(yīng)對措施的適當性和有效性的審查與評價THECONNOTATIONOFCORPORATECULTURE根據(jù)風險評估結(jié)果做出的風險應(yīng)對措施主要包括以下方面：(1)回避，即采取措施避免進行可產(chǎn)生風險的活動；(2)接受，即由于風險已在組織可接受的范圍內(nèi)，因而可以不采取任何措施；(3)降低，即采取適當措施將風險降低到組織可接受的范圍內(nèi)；(4)分擔，即采取措施將風險轉(zhuǎn)移給其他組織或保險機構(gòu)。風險管理審計的目標和內(nèi)容針對風險應(yīng)對措施的適當性和有效性的審查與評價THECONNOTATIONOFCORPORATECULTURE內(nèi)部審計人員在評價組織風險應(yīng)對措施的適當性和有效性時，應(yīng)當考慮以下因素：(1)采取風險應(yīng)對措施之后的剩余風險水平是否在組織可以接受的范圍之內(nèi)；(2)采取的風險應(yīng)對措施是否適合本組織的經(jīng)營和管理特點；(3)成本效益的考核與衡量等。風險管理審計的目標和內(nèi)容0102031.評估投資風險管理政策的合理性，控制政策風險2.評估具體投資項目決策中的風險評估是否充分，風險取向是否符合企業(yè)戰(zhàn)略3.評估投資項目治理中的風險控制措施是否完備風險管理審計的目標和內(nèi)容風險管理審計的主要實施領(lǐng)域-對投資業(yè)務(wù)的風險管理審計風險管理審計的目標和內(nèi)容01021.審查企業(yè)采購業(yè)務(wù)風險控制體系是否完備2.審查采購業(yè)務(wù)中的信息傳遞內(nèi)部控制是否能夠滿足消除重大風險，控制一般風險的目的(1)授權(quán)程序是否完備(2)文件和記錄的使用是否納入管理(3)獨立檢查機制是否建立和正常運行01對物資采購業(yè)務(wù)的風險管理審計0102031.評估市場部門制定的營銷政策是否切合當前環(huán)境，控制政策失誤風險2.評估主要客戶信用風險的控制手段是否健全，是否運行良好，以便控制壞賬風險3.評估市場部門及其主要營銷人員的風險取向是否符合企業(yè)戰(zhàn)略，風險是否得到充分揭示風險管理審計的目標和內(nèi)容對市場營銷業(yè)務(wù)的風險管理審計01020304051.評估ERP系統(tǒng)風險管理體系的完整性

4.評估ERP系統(tǒng)是否設(shè)置自我風險監(jiān)控功能，以控制重大問題風險2.評估ERP系統(tǒng)相關(guān)業(yè)務(wù)流程風險控制的有效性3.對ERP系統(tǒng)關(guān)鍵控制點上主要經(jīng)營風險的控制實施實質(zhì)性測試5.評估信息系統(tǒng)軟硬件故障風險風險管理審計的目標和內(nèi)容ERP系統(tǒng)實施領(lǐng)域的風險管理審計1.評估環(huán)境保護監(jiān)督管理制度體系的建設(shè)情況，控制監(jiān)督“盲點”風險2.評估企業(yè)自身建設(shè)項目的立項與審批中的環(huán)境保護風險因素，控制“源頭”風險風險管理審計的目標和內(nèi)容環(huán)境保護領(lǐng)域的風險管理審計03風險管理審計的方法(一)審閱(二)檢查(三)訪談(四)分析程序風險管理審計的方法傳統(tǒng)審計方法在風險管理審計中的應(yīng)用風險管理體系建立情況的審計方法(1)研究一般性風險。審計人員一般從會計師事務(wù)所和咨詢公司、保險顧問、行業(yè)協(xié)會、其他網(wǎng)站信息等來源獲得一般性風險清單。(2)識別企業(yè)特有風險。不同的企業(yè)風險不同，雖然研究一般性風險為創(chuàng)建風險庫提供基礎(chǔ)，但審計人員應(yīng)當采用調(diào)查問卷等方式讓企業(yè)的各層次管理人員參與頭腦風暴，找到企業(yè)特有的風險，修正一般性風險，建立起適合企業(yè)的風險庫。(3)定義風險。用“原因和結(jié)果”的形式定義風險，但定義要簡明，且使用公司熟悉的語言，以便形成一種通用的風險語言。風險管理審計的方法風險管理體系建立情況的審計方法(4)鏈接風險與戰(zhàn)略。每個風險都必須被放在“它能對戰(zhàn)略產(chǎn)生怎樣的影響”的環(huán)境中進行討論，找到風險與企業(yè)戰(zhàn)略和企業(yè)經(jīng)營目標的關(guān)聯(lián)。如果一個風險不能夠與戰(zhàn)略目標、經(jīng)營目標、財務(wù)目標或價值觀聯(lián)系起來的話，就說明這個風險沒有被恰當?shù)囟x，甚至與公司不相關(guān)。風險與戰(zhàn)略的鏈接過程具有反復(fù)性，剛開始時人們會發(fā)現(xiàn)風險與多個目標相關(guān)，但經(jīng)過深入分析后可能會排除一些較弱的相關(guān)性，以修改或增加、刪除一些風險。然而，通過深入理解這些風險的特征和相互關(guān)系，人們將在每個風險的評估過程中更加突出與戰(zhàn)略相關(guān)的重點風險。風險管理審計的方法風險管理體系建立情況的審計方